A D3Lab nemrégiben egy rendkívül kifinomult phishing kampányt dokumentált, amely a Polizia Postale, az olasz online rendőrség nevével és arculatával él vissza. A kampány különlegessége, hogy a beírt személyes információkat, bankkártya adatokat nem hagyományos HTTP POST formában, hanem titkosított WebSocket kapcsolaton keresztül, karakterenként, valós időben küldi meg a támadókhoz. A támadás központi narratívája a SIM swapping, amely során a felhasználókat „biztonsági intézkedés” ürügyével kényszerítik adatmegadásra.

A támadás első és legfontosabb pszichológiai eleme, hogy a magas bizalmi szinttel rendelkező Polizia Postale „Commissariato di P.S. Online” portáljának vizuális világát, logóit és elrendezését lemásolják. A felhasználó végig azt érzi, hogy egy hivatalos, az online csalások ellen fellépő állami szervvel kommunikál. A biztonságért felelős intézmény identitásának eltulajdonítása különösen hatékony fegyver, mert az átlagfelhasználó sokkal kevésbé gyanakodik, mint egy ismeretlen domainről érkező, gyanús levélre.

A kampány alapja a SIM swapping, amely egy valódi csalási forma: ilyenkor a támadó megszerzi az irányítást az áldozat telefonszáma felett, például úgy, hogy azt egy általa kontrollált SIM-kártyára viteti át, majd ezen keresztül banki és egyéb szolgáltatásokhoz fér hozzá. A támadók azonban ezt a valódi fenyegetést felhasználják egy hamis „riasztás” és „azonnali teendők” köré épülő narratíva megalkotására, amely kizárólag az adatlopást szolgálja.

A kampány több egymásra épülő fázisból áll, amelyeken a felhasználó lépésről lépésre halad át, miközben a támadók fokozatosan egyre érzékenyebb adatokat kérnek. Az első lépésben a felhasználót egy „Verifica Interattiva – Controllo Rapido” feliratú oldal fogadja. Ez egy hamis „anti-bot” ellenőrzés, amely két funkciót lát el. Egyrészt legitim biztonsági funkciónak álcázza a csalást, másrészt tudatosan ráerősít arra az élményre, hogy az oldal „vigyáz” a felhasználóra. A hamis anti-bot lépés után a felhasználó egy olyan oldalra kerül, amely grafikailag nagyon közel áll az eredeti Polizia Postale online portálhoz, hivatalosnak tűnő logókkal és elrendezéssel. A design célja, hogy minden jel arra mutasson, hogy egy hivatalos oldalról van szó, amely online biztonsággal foglalkozik. Az oldal központi eleme egy látványos, figyelemfelkeltő című cikk, amely a SIM swapping „robbanásszerű növekedéséről” számol be, többek között azzal az állítással, hogy az év első öt hónapjában „több mint 12 000 esetet” regisztráltak, és ez „47%-os növekedést” jelent az előző év azonos időszakához képest. Ezek az adatok a történet részei, a cikk hitelességét hivatottak fokozni, nem hivatalos statisztikák.

A hamis cikk végén a felhasználót egy kiemelt „Richiedi la sostituzione” vagyis magyarul „kérvényezze a cserét” gombbal cselekvésre szólítják fel, azt sugallva, hogy ezzel védi meg magát a SIM swapping csalásoktól. A gomb megnyomása után a kampány a „biztonsági SIM csere” folyamatára hivatkozva személyes és elérhetőségi adatok teljes körét kezdi el bekérni: a teljes nevet, az olasz adóazonosítónak megfelelő „Codice Fiscale” kódot, az aktuális telefonszámot, valamint a részletes postai címet. Ezek az adatok pontosan azok, amelyek egy SIM-csere folyamat legitimálásához szükségesek lehetnek, így a támadók a valós ügyintézési eljárások látszatát lovagolják meg.

Miután az áldozat elküldi a „SIM csere” kérelmet, egy eredményoldal jelenik meg, amely azt sugallja, hogy a folyamat elindult, de a szám megtartásához kötelező egy csekély, 2 eurós díj megfizetése. A fizetési felületen két opciót kínálnak: bankkártyás fizetést vagy PayPal használatát. Bankkártya választása esetén a kártyatulajdonos neve, a kártyaszám, lejárat és CVV kerül bekérésre, míg PayPal esetén e-mail vagy telefonszám és jelszó megadását kérik. A támadók itt már teljes értékű, azonnal pénzzé tehető hitelesítő adatokat szereznek.

A kampány leginnovatívabb technikai eleme, hogy a bevitt adatokat nem egy klasszikus, form-alapú HTTP POST kérésben küldi el a szervernek, hanem a böngésző és a támadói backend között felépített wss:// alapú WebSocket kapcsolaton keresztül. A felhasználó által begépelt karakterek valós időben, karakterenként továbbítódnak a támadóknak. Ez a megközelítés több szempontból előnyös a támadónak. Minimalizálja az adatvesztés kockázatát, hiszen a bevitt adatok akkor is a támadókhoz kerülnek, ha az áldozat a folyamat vége előtt megszakítja a kapcsolatot. Másrészt a szokásos „form submit” mintázat hiánya megnehezítheti egyes, POST-alapú anomália-detekcióra támaszkodó védelmi megoldások dolgát, különösen, ha azok nem figyelik következetesen a WebSocket forgalmat.